Pojawił się pierwszy projekt nowej ustawy o ochronie danych osobowych

Jak pew­nie uda­ło się Tobie zauwa­żyć, spo­ro uwa­gi na moim blo­gu poświę­cam zagad­nie­niom zwią­za­nym z pra­wem ochro­ny danych oso­bo­wych. Robię to, ponie­waż uwa­żam, że ochro­na danych oso­bo­wych jest taką gałę­zią pra­wa, któ­ra aktyw­nie sty­mu­lu­je adop­cję roz­wią­zań zapew­nia­ją­cych cyber­bez­pie­czeń­stwo w orga­ni­za­cjach. Dane oso­bo­we prze­twa­rza­my prak­tycz­nie w każ­dej orga­ni­za­cji i czę­sto doty­czą one wie­lu osób. Spo­sób ich ochro­ny, podej­mo­wa­ne środ­ki ochron­ne i sta­wia­ne im wymo­gi praw­ne to ide­al­ny punkt wyj­ścia, by roz­ma­wiać o cyber­bez­pie­czeń­stwie. Zresz­tą – jed­nym z uni­wer­sal­nych celów, któ­re przy­świe­ca­ły powsta­wa­niu pierw­szych tego typu ustaw na świe­cie (w latach ’70 i ’80) była chęć zapew­nie­nia bez­pie­czeń­stwa i ochro­ny użyt­kow­ni­kom nowo­cze­snych roz­wią­zań ICT. Od oko­ło roku wszy­scy mówią o nad­cho­dzą­cej euro­pej­skiej refor­mie pra­wa ochro­ny danych oso­bo­wych. Roz­po­czę­cie sto­so­wa­nia unij­nej refor­my wymu­sza przy­ję­cie w Pol­sce nowej usta­wy o ochro­nie danych oso­bo­wych. Dzi­siaj poja­wił się pierw­szy, ofi­cjal­ny pro­jekt tej usta­wy i jemu poświę­cę kil­ka uwag w tym wpisie.

Dni GIODO zostały policzone – będziemy mieć Prezesa Urzędu Ochrony Danych Osobowych

Koniec GIODO jest nie­mal­że pew­ny. Nowa usta­wa zno­sząc sta­rą zli­kwi­du­je urząd Gene­ral­ne­go Inspek­to­ra Ochro­ny Danych Oso­bo­wych i w jego miej­sce usta­no­wi Pre­ze­sa Urzę­du Ochro­ny Danych Oso­bo­wych. Przy­po­mi­na to tro­chę Pre­ze­sa Urzę­du Ochro­ny Kon­ku­ren­cji i Kon­su­men­ta, nie­praw­daż? Zga­dza się, ale w sumie taka zmia­na wyda­je się zasad­na. Sko­ro funk­cję Admi­ni­stra­to­ra Bez­pie­czeń­stwa Infor­ma­cji po wej­ściu w życie roz­po­rzą­dze­nia 2016/679 (RODO) zastą­pi oso­ba okre­śla­na Inspek­to­rem Ochro­ny Danych (IOD lub z angiel­skie­go DPO – Data Pro­tec­tion Offi­cer), to dal­sze dzia­ła­nie Głów­ne­go Inspek­to­ra – któ­ry insty­tu­cjo­nal­nie nie był­by prze­cież powią­za­ny z IOD – mogło­by wpro­wa­dzać nie­co zamę­tu. W prak­ty­ce, zmia­na będzie wyglą­da­ła zapew­ne w ten spo­sób, że pew­ne­go dnia na ul. Staw­ki 2 w War­sza­wie dobie­gnie koń­ca pra­ca Biu­ra GIODO, by następ­ne­go dnia robo­cze­go w tym samym miej­scu roz­po­czę­ła się pra­ca nowe­go Urzędu.

Kończymy ze zmianą haseł co 30 dni i antywirusami?

Uchy­lo­na zosta­nie moja oso­bi­sta zmo­ra w posta­ci Roz­po­rzą­dze­nia mini­stra spraw wewnętrz­nych i admi­ni­stra­cji z dnia 29 kwiet­nia 2004 r. w spra­wie doku­men­ta­cji prze­twa­rza­nia danych oso­bo­wych oraz warun­ków tech­nicz­nych i orga­ni­za­cyj­nych, jakim powin­ny odpo­wia­dać urzą­dze­nia i sys­te­my infor­ma­tycz­ne słu­żą­ce do prze­twa­rza­nia danych oso­bo­wych. W jej miej­sce poja­wi się zbiór „nie­wią­żą­cych dobrych prak­tyk w zakre­sie moż­li­wych do zasto­so­wa­nia zabez­pie­czeń prze­twa­rza­nia danych” – pro­jekt usta­wy nakła­da na Pre­ze­sa obo­wią­zek wyda­wa­nia takie­go zbio­ru i jego okre­so­wej aktu­ali­za­cji (głów­ną sła­bo­ścią aktu­al­ne­go roz­po­rzą­dze­nia jest jego… nie­ak­tu­al­ność). Być może skoń­czy­my z prze­sta­rza­ły­mi zale­ce­nia­mi w posta­ci obo­wiąz­ku insta­lo­wa­nia anty­wi­ru­sów i fire­wal­li. W mojej oce­nie ten wymóg obec­nie bar­dziej szko­dzi niż poma­ga – praw­ni­cy nie zasta­na­wia­ją się fak­tycz­nie nad tym, czy coś jest dobrze zabez­pie­czo­ne tyl­ko odha­cza­ją, że anty­wi­rus jest. To mia­ło sens ale w cza­sach Win­dow­sa XP (wte­dy zresz­tą wyda­no to roz­po­rzą­dze­nie). Tech­no­lo­gie ICT i spo­so­by prze­twa­rza­nia danych od tego cza­su „nie­co” ewo­lu­owa­ły. Nie wie­my co ze zmia­ną haseł co 30 dni, ale miej­my nadzie­ję, że ta „dobra prak­ty­ka” zosta­nie porzu­co­na. A nawet jeśli się poja­wi – to będzie tyl­ko nie­wią­żą­cą dobrą prak­ty­ką, któ­rą z powo­dze­niem zastą­pi­my choć­by 2FA w pro­ce­du­rze oce­nia­nia ryzyka.

Strzał w stopę przy okazji ochrony tajemnic

W świe­tle obec­nych prze­pi­sów moż­na wyłą­czyć jaw­ność prze­bie­gu kon­tro­li, ale… wyma­ga to jed­nak sko­rzy­sta­nia z pew­nej ilo­ści praw­ni­cze­go know-how. Do tej pory pod­czas kon­tro­li GIODO zawsze uda­wa­ło mi się wyłą­czać jaw­ność kon­tro­li – jeśli oczy­wi­ście Klient, któ­re­mu poma­ga­łem tego sobie życzył. Nowy pro­jekt mówi prost o tym, że usta­no­wio­ne zosta­ną gwa­ran­cje pozwa­la­ją­ce chro­nić tajem­ni­ce przed­się­bior­stwa. Faj­nie. Mniej faj­nie, że pro­jekt zda­je się nie brać pod uwa­gę zało­żeń nowej dyrek­ty­wy 2016/943 w spra­wie ochro­ny tajem­nic i cał­kiem nie­słusz­nie ogra­ni­cza ją do tajem­nic przed­się­bior­stwa. Miej­my nadzie­ję, że w dal­szych eta­pach kwe­stie te zosta­ną sko­ry­go­wa­ne, bo ina­czej cze­ka­ją nas per­tur­ba­cje i koniecz­ność się­ga­nia do dal­szych prze­pi­sów (swo­ją dro­gą jesz­cze nie przyjętych).

Jedna instancja i mniej straszne kary

Dzi­siaj wszy­scy stra­szą kara­mi nakła­da­ny­mi po roz­po­czę­ciu sto­so­wa­nia RODO. Kary będą, ale… wyda­je się, że ich nakła­da­nie nie przy­bie­rze for­my strze­la­nia przez Pre­ze­sa Urzę­du Ochro­ny Danych Oso­bo­wych do przed­się­bior­ców niczym do kaczek. Pro­jekt słusz­nie zakła­da, że te kary mogły­by po pro­stu skut­ko­wać nie­moż­li­wy­mi do odwró­ce­nia stra­ta­mi po stro­nie admi­ni­stra­to­rów. W związ­ku z czym nie będą one mia­ły rygo­ru natych­mia­sto­wej wyko­nal­no­ści. Ale nakła­dać je oczy­wi­ście będzie moż­na i nie da się z obo­wiąz­ku ich uisz­cze­nia wywi­nąć tak łatwo jak teraz.

Co rów­nież dość cie­ka­we – znik­nie dru­ga instan­cja – po sprze­ci­wie­niu się decy­zji Pre­ze­sa od razu uda­my się do Woje­wódz­kie­go Sądu Admi­ni­stra­cyj­ne­go (chy­ba, że Pre­zes sam uchy­li szyb­ko swo­ją decy­zję). Może ode­tka to zatka­ne GIODO (dzi­siaj pierw­sza instan­cja to czas ocze­ki­wa­nia wyno­szą­cy pra­wie 300 dni).

Zgoda rodzica na przetwarzanie danych osobowych dziecka

RODO prze­wi­du­je, że zgo­da na prze­twa­rza­nie danych oso­bo­wych dziec­ka w przy­pad­ku usług spo­łe­czeń­stwa infor­ma­cyj­ne­go – by mogła być samo­dziel­nie przez dziec­ko wyra­żo­na – wyma­ga ukoń­cze­nia 16 roku życia. Ale pań­stwa mogą prze­wi­dzieć niż­szą gra­ni­cę – i tutaj nasze Mini­ster­stwo Cyfry­za­cji pro­po­nu­je lat 13. Wska­zu­je się, że pra­wo cywil­ne prze­wi­du­je, iż oso­ba, któ­ra ukoń­czy­ła 13 lat ma ogra­ni­czo­ną zdol­ność do czyn­no­ści praw­nych – może zatem zawie­rać umo­wy w drob­nych bie­żą­cych spra­wa życia codzien­ne­go – czy­li przy­kła­do­wo zało­żyć kon­to na Face­bo­oku. Pro­jek­to­daw­ca pod­kre­śla, że zgo­da może być cof­nię­ta, co prze­ma­wia tak­że za obni­że­niem wie­ku. Ogól­nie rzecz bio­rąc – ja się z tą kon­cep­cją zga­dzam, bo utrzy­ma­nie pro­gu lat 16 czy­ni­ło­by by fak­tycz­nie dziw­ny nie­co wyłom na tle regu­la­cji przy­ję­tych w naszym pra­wie cywilnym.

Podsumowując…

Wska­za­ne prze­ze mnie zmia­ny uwa­żam za cie­ka­we, ale pamię­taj pro­szę, że to moje wybiór­cze zesta­wie­nie. Jest jesz­cze jed­na arcy­in­te­re­su­ją­ca kwe­stia, o któ­rej celo­wo nie napi­sa­łem. Cho­dzi o losy aktu­al­nych ABI i tego, czy z auto­ma­tu zosta­ną IOD. To jed­nak temat na odręb­ną notkę 😉

Jeśli inte­re­su­je Cię pro­jekt, to poni­żej możesz się z nim zapo­znać. Pod pro­jek­tem dodat­ko­wo zamiesz­czam jesz­cze krót­kie wpro­wa­dze­nie przy­go­to­wa­ne przez Mini­ster­stwo Cyfryzacji.

2 komentarze do “Pojawił się pierwszy projekt nowej ustawy o ochronie danych osobowych”

    • Panie Grze­go­rzu,
      pod­sta­wą stwo­rze­nia tego pro­jek­tu jest wła­śnie przy­ję­cie nowe­go roz­po­rzą­dze­nia, któ­re Pan pod­lin­ko­wał. Pro­jekt (zgod­nie z zapi­sa­mi tego roz­po­rzą­dze­nia) uzu­peł­nia kwe­stie, któ­re pozo­sta­wio­no Pań­stwom Członkowskim.

      Odpowiedz

Leave a Reply